本申请公开了一种数据安全防护方法、装置、设备及介质,包括:向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限;对待存储数据进行加密,得到目标加密数据;将所述目标加密数据存储至所述目标物理空间。这样,避免了提供物理空间的设备对目标物理空间仍有访问权限的问题,能够保障在其他设备中存储的数据的安全性。
【技术实现步骤摘要】
一种数据安全防护方法、装置、设备及介质
本申请涉及数据安全
,特别涉及一种数据安全防护方法、装置、设备及介质。
技术介绍
目前,在NVME(Non-VolatileMemoryexpress)HMB(即HostMemoryBuffer,主机内存缓冲区)功能,主机系统提供了一段主机内存给NVME设备使用,该段空间作为设备的内存空间使用,而设备通常会把设备侧专有的设备管理元数据(非用户数据)放置到主机的内存中,这就提供了一种外部攻击或截取硬盘或设备的内部数据的机会。而基于NVME协议的CMB(ControllerMemoryBuffer,控制器内存缓冲区)功能,是把NVME设备的内部的一段内存空间提供给主机,作为主机的内存来使用,主机把一些数据暂存在设备内存中,这时就需要提供一种方法来防止设备获取该主机专有的数据。目前,现有技术一般都是从数据安全角度出发,且一般局限于设备自身的数据安全或数据传输安全,没有涉及利用其他设备缓存设备自身数据的安全性,即使某些设备有空间独占,也仅是从软件系统空间分配考虑独占,空间提供者实际上还是拥有空间的读写权限,这就给空间提供者提供了探测使用者的后门权限。
技术实现思路
有鉴于此,本申请的目的在于提供一种数据安全防护方法、装置、设备及介质,能够保障在其他设备中存储的数据的安全性。其具体方案如下:第一方面,本申请公开了一种数据安全防护方法,应用于第一设备,包括:向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限;对待存储数据进行加密,得到目标加密数据;将所述目标加密数据存储至所述目标物理空间。可选的,所述向第二设备发送目标物理空间的独占申请,以便所述第二设备通过自身的物理地址总线为所述第一设备分配所述目标物理空间的独享权限,包括:向第二设备发送针对所述目标物理空间的加锁申请,以便所述第二设备的物理地址总线对所述目标物理空间加锁,以为所述第一设备分配所述目标物理空间的独享权限。可选的,所述向第二设备发送目标物理空间的独占申请,以便所述第二设备通过自身的物理地址总线为所述第一设备分配所述目标物理空间的独享权限,包括:向第二设备发送针对所述目标物理空间的授权申请,以便所述第二设备的物理地址总线将所述目标物理空间的访问权限授权给所述第一设备,以为所述第一设备分配所述目标物理空间的独享权限。可选的,所述对待存储数据进行加密,得到目标加密数据,包括:随机生成加密密钥;利用所述加密密钥对待存储数据进行加密,得到目标加密数据。可选的,所述加密密钥在掉电时不保存。可选的,所述对待存储数据进行加密,得到目标加密数据,包括:根据所述待存储数据的更新频率,利用对称加密算法或非对称法加密算法对待存储数据进行加密,得到目标加密数据。第二方面,本申请公开了一种数据安全防护装置,应用于第一设备,包括:物理空间独占申请模块,用于向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限;数据加密模块,用于对待存储数据进行加密,得到目标加密数据;数据存储模块,用于将所述目标加密数据存储至所述目标物理空间。可选的,所述数据加密模块,具体用于:随机生成加密密钥;利用所述加密密钥对待存储数据进行加密,得到目标加密数据。第三方面,本申请公开了一种电子设备,包括处理器和存储器;其中,所述存储器,用于保存计算机程序;所述处理器,用于执行所述计算机程序,以实现前述的数据安全防护方法。第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的数据安全防护方法。可见,本申请先向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限,然后对待存储数据进行加密,得到目标加密数据,之后将所述目标加密数据存储至所述目标物理空间。也即,本申请中,第一设备先在第二设备中申请第二设备中目标物理空间的独占权,实现对目标物理空间的物理独占,然后将加密后的待存储数据存储至目标物理空间,这样,避免了提供物理空间的设备对目标物理空间仍有访问权限的问题,能够保障在其他设备中存储的数据的安全性。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请公开的一种数据安全防护方法流程图;图2为本申请公开的一种具体的数据安全防护方法示意图;图3为本申请公开的一种具体的数据安全防护方法流程图;图4为本申请公开的一种数据安全防护装置结构示意图;图5为本申请公开的一种电子设备结构图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。目前,现有技术一般都是从数据安全角度出发,且一般局限于设备自身的数据安全或数据传输安全,没有涉及利用其他设备缓存设备自身数据的安全性,即使某些设备有空间独占,也仅是从软件系统空间分配考虑独占,空间提供者实际上还是拥有空间的读写权限,这就给空间提供者提供了探测使用者的后门权限。参见图1所示,本申请实施例公开了一种数据安全防护方法,应用于第一设备,包括:步骤S11:向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限。在一种具体的实施方式中,可以向第二设备发送针对所述目标物理空间的加锁申请,以便所述第二设备的物理地址总线对所述目标物理空间加锁,以为所述第一设备分配所述目标物理空间的独享权限。在另一种具体的实施方式中,可以向第二设备发送针对所述目标物理空间的授权申请,以便所述第二设备的物理地址总线将所述目标物理空间的访问权限授权给所述第一设备,以为所述第一设备分配所述目标物理空间的独享权限。也即,本申请实施例中,第一设备可以向第二设备发送加锁申请或授权申请,第二设备的物理地址总线为第一设备分配目标物理空间的独享权限。需要指出的是,物理地址总线提供加锁机制或授权机制,通过物理地址总线为第一设备分配目标物理空间的独享权限,第二设备的CPU也没有对目标物理空间的访问权限,可以防止非法使用者窃取数据,实现第一设备对目标物理空间的物理独占。步骤S12:对待存储数据进行加密,得到目标加密数据。<本文档来自技高网...
【技术保护点】
1.一种数据安全防护方法,其特征在于,应用于第一设备,包括:/n向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限;/n对待存储数据进行加密,得到目标加密数据;/n将所述目标加密数据存储至所述目标物理空间。/n
【技术特征摘要】
1.一种数据安全防护方法,其特征在于,应用于第一设备,包括:
向第二设备发送针对目标物理空间的独占申请,以便所述第二设备的物理地址总线为所述第一设备分配所述目标物理空间的独享权限;
对待存储数据进行加密,得到目标加密数据;
将所述目标加密数据存储至所述目标物理空间。
2.根据权利要求1所述的数据安全防护方法,其特征在于,所述向第二设备发送目标物理空间的独占申请,以便所述第二设备通过自身的物理地址总线为所述第一设备分配所述目标物理空间的独享权限,包括:
向第二设备发送针对所述目标物理空间的加锁申请,以便所述第二设备的物理地址总线对所述目标物理空间加锁,以为所述第一设备分配所述目标物理空间的独享权限。
3.根据权利要求1所述的数据安全防护方法,其特征在于,所述向第二设备发送目标物理空间的独占申请,以便所述第二设备通过自身的物理地址总线为所述第一设备分配所述目标物理空间的独享权限,包括:
向第二设备发送针对所述目标物理空间的授权申请,以便所述第二设备的物理地址总线将所述目标物理空间的访问权限授权给所述第一设备,以为所述第一设备分配所述目标物理空间的独享权限。
4.根据权利要求1所述的数据安全防护方法,其特征在于,所述对待存储数据进行加密,得到目标加密数据,包括:
随机生成加密密钥;
利用所述加密密钥对待存储数据进行加密,得到目标加密数据。
...
【专利技术属性】
技术研发人员:吕辉,
申请(专利权)人:江苏国科微电子有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。